Доктор определил и удалил следующий наборчик:
Trojan.PWS.LDPinch.1941
Trojan.Proxy.3111
BackDoor.Bambalam
Trojan.DownLoader.56870
Exploit.IFrame
Логи прилагаю.
Printable View
Доктор определил и удалил следующий наборчик:
Trojan.PWS.LDPinch.1941
Trojan.Proxy.3111
BackDoor.Bambalam
Trojan.DownLoader.56870
Exploit.IFrame
Логи прилагаю.
Пофиксите в HijackThis:
[code]
O2 - BHO: Gamburg provider - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [System] c:\windows\lsass.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\msindc.dll','');
DeleteFile('C:\WINDOWS\system32\msindc.dll');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\lsass.exe');
DelBHO('{FFFFFFFF-D71D-41e4-A699-F506DBD097F0}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=22027[/url]).
Сделайте новые логи.
Карантин закачал, логи прилагаю. Компьютер сам не перегрузился после выполнения скрипта, перегрузил вручную. И в карантин не все попало...
В карантине ntos.exe - Trojan-Spy.Win32.Zbot.bbi,
msindc.dll - [b]Trojan-Spy.Win32.Banker.kqe[/b] по поводу NDIS.sys - подождём ответа аналитиков. Тем временем
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22027[/url]
[FONT=monospace]C:\Documents and Settings\Администратор\Рабочий стол\tcpip.sys - этот файл чистый :) все забываю его удалить оттуда после давнего лечения...
[/FONT]
NDIS.sys
Вредоносный код в файле не обнаружен.
Пароли придется менять, ПИНЧА схватил.
это отосится и к паролю на вход в виндовс?
это относится ко всем паролям ....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msindc.dll - [B]Trojan-Banker.Win32.Banker.kqe[/B] (DrWEB: Trojan.PWS.Finanz.197)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.bbi[/B] (DrWEB: Trojan.Packed.511)[/LIST][/LIST]